绿盟云
“安全运营中心”到底是个啥?
2020-08-28
随着网络规模和复杂性不断增大,网络攻击技术不断革新,新型攻击工具大量涌现,传统的网络安全技术显得力不从心,网络入侵不可避免,网络安全问题越发严峻。
单凭一种或几种安全技术很难应对复杂的安全问题,网络安全人员的关注点也从单个安全问题的解决,发展到研究整个网络的安全状态到其变化趋势再到持续性的安全评估。
安全运营中心SOC(Security Operations Center)对影响网络安全的诸多要素进行获取、理解、评估以及预测未来的发展趋势和持续性的安全评估,是对网络安全性定量分析的一种手段,是对网络安全性的精细度量,安全运营也已经为网络安全2.0时代安全技术的焦点,对保障网络安全起着非常重要的作用。随着网络安全威胁环境的不断变化,安全运营中心也随之不断演变,每一代安全运营中心都有自己的特征和目标,业界目前正在定义第五代安全运营中心。
安全运营中心的前世今生
图1 安全运营中心发展历程
安全运营中心发展的驱动力
当前,驱动安全运营中心发展的主要因素有以下几点:
1. 日益严峻的国内外网络安全大环境:面对网络攻击组织化、产业化态势,迫使我们需要不断推进安全工作的进一步迭代,需要安全运营中心作为企事业单位整体运营的IT运行保障。
2. 政策法规推动下的合规管控要求的增强:信息安全已上升为国家战略, 2016年以来,我国网络安全监管环境整体趋严趋紧,强制性更高而且监管范围扩大,《网络安全法》、《等保2.0》等政策法规落地,信息安全行业迎来空前的发展机遇。
3. 常态化对抗下的安全能力不足内生出的安全管控追求:近几年,网络安全攻防演习成为各企事业单位,乃至国家层面培养网络安全人才的创新型培养模式。通过攻防演习,一方面,在实战演练的模拟下,可以真实的展现出来安全问题;另一方面,被点名通报整改的监管的力度也再加大,再也不像以前买一堆安全产品只为应对合规。当戳破了表面安全的假象,各企事业单位发现,要做到平时具备演练同等的防御能力,离不开安全运营体系的加持。内生出对于安全风险控制的追求,是安全运营中心发展的核心动力。在安全法和强攻防对抗下,促使企业从“合规”到“效果”的需求升级,也回归到了安全攻防的本质。
4. 企业成长产生的对安全运营中心的需要:从发展周期视角来看,随着企业的成长,市值、体量、社会影响力都不断增大了,安全建设工作也有了基础,对安全保障及管理有了需求,到了需要做安全运营中心建设的阶段。
5. 新一代信息技术应用带来的安全运营需求:随着云计算、大数据、物联网、移动互联网、人工智能等新一代信息技术的广泛应用,产生了智能交通、智能物流、工业智能化等许多新的应用场景,同时也带来了新的安全风险与挑战。例如,工业控制系统与传统IT系统存在很大的差异,工控协议类型繁多、适用于不同的控制环境,相对于传统互联网安全而言,工业互联网安全领域依旧是一个盲点。供电、供水这些基础设施的核心控制器件是工控系统,如果遭遇黑客攻击,会面临更大面积的瘫痪,需要安全运营中心提供有效的信息安全防护保障。
运营是网络安全的血脉
安全运营中心是通过规划、统筹与运用多种手段,将安全产品和服务的核心价值持续输出传递给用户的过程。安全运营中心传递给用户的核心价值是发现安全问题、验证问题、分析问题、响应处置、解决问题并迭代优化,持续降低用户面临的安全风险。安全运营中心不是单纯的产品或服务的堆叠,而是一个以安全为目标导向,统筹规划人(运营团队建设、人员能力提升等)、工具技术(安全基础设施建设、大数据集中分析、安全编排自动化与响应等)、运营管理(检测、预警、响应、恢复和反制,以及配套的运营流程和管理制度等),用于解决安全问题,实现最终安全目标的复杂安全保障体系。
图2 安全运营管理的定位
安全运营中心建设最主要的难点是对专业度的要求,包括安全攻击、防御、分析等技术的积累,安全发展新动态的跟踪,以及拥有高端安全人才队伍等。以上各方面对客户来说,实现比较困难且性价比不高。而安全厂商天然具备以上各方面优势,可以通过传统的产品形式,以及安全咨询、安全服务或者运营服务等多种形式实现安全运营能力的输出,帮助客户实现整体安全运营。
绿盟科技“安全运营+”体系
“安全运营+”体系旨在为各行业与组织机构客户提供安全运营中心建设方案,在客户原有产品与服务基础上进一步整合优势资源,以达到为客户提供安全运营整体方案及运营支撑,协助客户建设适用于自己业务的安全运营体系,并进行持续优化的战略目标。
“安全运营+”提供从安全运营中心建设的目标出发,由安全管理支撑、安全服务及安全技术保障三方面构建的解决方案,从而可确保不同类型的安全运营中心体系建设的系统性、完整性、有效性。方案的核心优势是“云地人机”的服务理念, 能够提供诸如安全数据接入、云端7×24小时值守团队的协助,且与地面部队支撑相结合的云端能力。如果云端无法完全解决,还可以提供地面部队及时到达客户现场,为客户排忧解难。由此,帮助客户将安全防御体系从静态、被动、基于规则的防御,逐渐转变为主动、动态、自适应的弹性防御体系,从而真正做到“云地协同,智行合一”。
图3 绿盟安全运营中心体系
总结
安全运营中心的建设需要与客户整体业务安全进行同步规划、同步建设及同步使用。安全运营中心建设也不可能一蹴而就,需要一个长期运营,不断完善的过程。围绕业务安全目标,统一规划、分步实施、长期坚持,逐步构建完善的网络安全体系。
<<上一篇
咖啡时间第四期:让我们来聊聊威胁捕获>>下一篇
“巴渝工匠”杯重庆市首届信息通信行业(网络安全)职业技能竞赛即将开赛
